image

Spamhaus ziet sterke stijging van nieuwe botnetservers in tweede kwartaal

vrijdag 31 juli 2020, 14:42 door Redactie, 6 reacties

Het aantal nieuwe botnetservers is in het tweede kwartaal sterk gestegen, zo meldt spambestrijder Spamhaus in een nieuw kwartaalrapport. Was er in het eerste kwartaal nog sprake van een daling van 57 procent, het tweede kwartaal kende een stijging van 77 procent. Het ging om bijna 3600 nieuwe servers gebruikt voor het aansturen van botnets.

2700 van deze servers werden direct bestuurd door criminelen. Die maken gebruik van gestolen of vervalste gegevens om virtual private servers (VPS) of dedicated servers te huren, die vervolgens worden gebruikt als command & control van een botnet. Verder meldt Spamhaus dat het in het tweede kwartaal langer duurde om botnetservers uit de lucht te halen.

Net als voorgaande kwartalen werden de meeste botnetservers in de Verenigde Staten gehost, gevolgd door Rusland en Nederland. Ons land telde in het tweede kwartaal 337 botnetservers. Een stijging van 61 procent ten opzichte van het vorige kwartaal.

De malware die via de botnetservers wordt aangestuurd blijkt voornamelijk in de categorie "credential stealer" te vallen. Het gaat dan om malware die zaken als wachtwoorden steelt. Van de Top 10 malware-exemplaren waren er zes een credential stealer.

Spamhaus haalt in het kwartaaloverzicht uit naar domeinregistrar Namecheap. Dit bedrijf blijkt al geruime tijd de meestgebruikte registrar te zijn voor het registreren van door botnetservers gebruikte domeinnamen. Daarnaast verscheen Namecheap ook in de Top 10 van netwerken waar in het tweede kwartaal de meeste botnetservers waren ondergebracht.

Image

Reacties (6)
31-07-2020, 14:45 door Anoniem
Namecheap is ook populair onder criminelen die phishingsites exploiteren. De abuse-afdeling lijkt daar snel op in te spelen, maar in de praktijk valt dat flink tegen.
31-07-2020, 15:22 door Anoniem
Net als voorgaande kwartalen werden de meeste botnetservers in de Verenigde Staten gehost, gevolgd door Rusland en Nederland.
De vraag is nog even welke definitie daarbij gehanteerd is van "land waar het gehost is".
Ik zie bijvoorbeeld voortdurend "hinderlijke activiteit" vanuit VPS'en die verhuurd worden door Russische bedrijven, maar die fysiek in Nederland zitten.
Kennelijk dient het Russische bedrijf als een "bulletproof hosting" dekmantel voor activiteiten vanuit Nederlandse datacenters.
Men weet natuurlijk dat als men rechtstreeks als Nederlandse hoster de markt op gaat er veel meer gezeur is met autoriteiten enzo.
31-07-2020, 23:41 door Anoniem
Er zijn nog wat meer wegen - sedoparking, overname van legitieme sites met zwakke configuartie en plug-ins, gedowngrade websites, geinjecteerde kwaadaardige invoice en andere documenten. Sub-domeinen, ja zelfs vanaf websites die nog onder constructie zijn. Ze gebruiken elke "trick out of the book".

Dus kwaadaardige websites by default gemaakt door cybercriminele malcreanten en legitieme websites die door criminelen worden overgenomen en geinjecteerd en zelfs gehard tegen de eigen bezitters (die vaak geen partij blijken voor deze cybercriminelen)

luntrus
01-08-2020, 12:30 door Briolet
Tja, alles is relatief.

Je begint op 100%. Na 1 kwartaal zit je op 43% (57% daling).

En dan stijg je 77% op die 43%. Dan zit je nog steeds maar op 76% van het 4e kwartaal vorig jaar.

De titel klinkt dramatisch, maar we zitten nog steeds niet op het oude niveau.
01-08-2020, 14:03 door botbot
Door Anoniem:
Net als voorgaande kwartalen werden de meeste botnetservers in de Verenigde Staten gehost, gevolgd door Rusland en Nederland.
De vraag is nog even welke definitie daarbij gehanteerd is van "land waar het gehost is".
Ik zie bijvoorbeeld voortdurend "hinderlijke activiteit" vanuit VPS'en die verhuurd worden door Russische bedrijven, maar die fysiek in Nederland zitten.
Kennelijk dient het Russische bedrijf als een "bulletproof hosting" dekmantel voor activiteiten vanuit Nederlandse datacenters.
Men weet natuurlijk dat als men rechtstreeks als Nederlandse hoster de markt op gaat er veel meer gezeur is met autoriteiten enzo.

Plus dat landsgrezen geen reet uit maken op het internet. Ook al zouden 100% van de C&C servers in Rusland zitten, dan zouden het nog steeds 100% amerikaanse burgers kunnen zijn die ze aansturen. Oftewel het zegt niets. Simpwel komt het er op neer: "waar heeft men voor de doelgroep van attack de beste internet verbinding en zitten we toch een paar juridische deurtjes verderop".

Dat het Rusland betreft. Of Nederland. Of Amerika, zegt imho meer iets over de kwaliteit van de verbindingen. En het feit dat wss de aanstuurders gewoon niet in het land wonen waar ze hosten. Ik denk persoonlijk dat ze het liefst Zuid Timboektoe hadden gehad of een of ander vaag Afrikaans land zonder enige redelijke vorm van juridisch apparaat en/of bestuur als ze simpelweg een goede internetverbinding hadden.
02-08-2020, 00:41 door Anoniem
Je hoster kan ook ergens tussen de Caribbean Pirates zitten.
Bijvoorbeeld op een of ander Tropical Island Nation en daar je ware registratie niet willen vrijgeven.
Moet je eerst even op Trustpilot kijken of je met spam, scam of fraude te maken hebt.

Russische bullet proof hostertjes zitten ook vaak in het zuiden des lands of komen ze wellicht uit de Ukraina.
Deze organisatie staat bekend als het Russian Bussiness Network (Kriminalnaya Rossiya),
Verdachte domeinen eindigen vaak op dot su = soviet union.

Vergeet nooit dat de gewone Rus een sympathieke, vaak goed opgeleide en van nature gastvrije mens is,
die het thuis ongelooflijk gezellig kan hebben en maken,
maar bang is voor de onveilige chaos die soms buiten op straat om hem heerst.

(Eigenlijk betreft het slechts Moskou, de rest is niet het echte Rusland,
net als bij ons Mokum en de mediene. (Jidd. = stad en gewest).)

Maar zo is het eigenlijk met alle end-users, waar ook ter wereld.
Niet allle end-users zijn (cyber)-crimineel.
Niet elke hacker is een defacer, niet elke pentester is een resource engineer of een betrouwbar researcher.
Niet elke slimmerik is kwaadaardig by default, maar er zijn er wel zonder ethiek, scrupules noch empathie.
Scheidt het kaf van het koren.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.